Vollständige Virenbeschreibung

Name:	TR/Fakealert.QE
Entdeckt am:	16/10/2008
Art:	Trojan
In freier Wildbahn:	Ja
Gemeldete Infektionen:	Niedrig bis mittel
Verbreitungspotenzial:	Niedrig
Schadenspotenzial:	Niedrig bis mittel
Statische Datei:	Nein
IVDF Version:	7.00.07.46 - Donnerstag, 16. Oktober 2008

General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine

Aliases:
   • Symantec: AntiVirus2009
   • Kaspersky: not-a-virus:FraudTool.Win32.XPSecurityCenter.az
   • F-Secure: not-a-virus:FraudTool.Win32.XPSecurityCenter.az
   • Panda: Adware/XPAntiSpyware2009
   • Grisoft: Downloader.Small.ELY

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Lädt Dateien herunter
   • Lädt schädliche Dateien herunter

Nach Aktivierung wird folgende Information angezeigt:

Dateien Es werden folgende Dateien erstellt:

– Nicht virulente Dateien:
   • %PROGRAM FILES%\XP_AntiSpyware\Uninstall.exe; %PROGRAM
      FILES%\XP_AntiSpyware\htmlayout.dll; %PROGRAM
      FILES%\XP_AntiSpyware\pthreadVC2.dll; %PROGRAM
      FILES%\XP_AntiSpyware\Microsoft.VC80.CRT\msvcp80.dll; %PROGRAM
      FILES%\XP_AntiSpyware\Microsoft.VC80.CRT\msvcm80.dll; %PROGRAM
      FILES%\XP_AntiSpyware\Microsoft.VC80.CRT\msvcr80.dll; %PROGRAM
      FILES%\XP_AntiSpyware\data\daily.cvd; %HOME%\Start
      Menu\Programs\XP_AntiSpyware\XP_AntiSpyware.lnk;
      %HOME%\Desktop\XP_AntiSpyware.lnk; %HOME%\Start
      Menu\Programs\XP_AntiSpyware\XP_AntiSpyware.lnk; %HOME%\Start
      Menu\Programs\XP_AntiSpyware\Uninstall.lnk

– Dateien für temporären Gebrauch. Diese werden möglicherweise wieder gelöscht.
   • %TEMPDIR%\prm2
   • %TEMPDIR%\prm3

– %PROGRAM FILES%\XP_AntiSpyware\AVEngn.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Fakealert.QF

– %TEMPDIR%\Binaries1.cab2
– %TEMPDIR%\Binaries2.cab3
– %TEMPDIR%\Binaries3.cab4

Es wird versucht die folgenden Dateien herunterzuladen:

– Die URL ist folgende:
   • http://www.xpas2009.com/**********/Binaries1.cab
Diese wird lokal gespeichert unter: %temporary internet files%\Content.IE5\%achtstellige zufällige Buchstabenkombination%\Binaries1[1].cab

– Die URL ist folgende:
   • http://www.xpas2009.com/**********/Binaries2.cab
Diese wird lokal gespeichert unter: %temporary internet files%\Content.IE5\%achtstellige zufällige Buchstabenkombination%\Binaries2[1].cab

– Die URL ist folgende:
   • http://www.xpas2009.com/**********/Binaries3.cab
Diese wird lokal gespeichert unter: %temporary internet files%\Content.IE5\%achtstellige zufällige Buchstabenkombination%\Binaries3[1].cab

Es versucht folgende Dateien auszuführen:

– Dateiname:
   • %PROGRAM FILES%\XP_AntiSpyware\XP_AntiSpyware.exe
Des weiteren enthält sie schadhaften Code. Erkannt als: TR/Drop.Delf.Crypt.G.24

– Dateiname:
   • %PROGRAM FILES%\XP_AntiSpyware\wscui.cpl
Des weiteren enthält sie schadhaften Code. Erkannt als: TR/Fakealert.QE

Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in MS Visual C++ geschrieben.

Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Andreas Feuerstein am Dienstag, 21. Oktober 2008
Die Beschreibung wurde geändert von Andreas Feuerstein am Dienstag, 21. Oktober 2008

zurück . . . .